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Prufungsantrag gem. § 44 PatG ist gestellt 

® Datenubertragungssystem mit einem Terminal und einer tragbaren Datentrageranordnung und Verfahren zum 
Wiederaufladen der tragbaren Datentrageranordnung mittels des Terminals 

(§7) Bei einem Datenubertragungssystem, das mit zumindest 
einem Terminal und zumindest einer tragbaren Datentrager- 
anordnung, beispielsweise einer Chipkarte, gebildet ist, ist 
der einen Geldwert reprasentierende Bereich des nicht- 
fiuchtigen Speichers (NVM) dor Karte in 2wei Wertbereiche 
(WBA, WBB) unterteiit, von denen jewel Is nur einer (WBA 
bzw. WSB) nicht-fiuchtfg aktivierbar ist und der andere 
(WBB bzw. WBA) nur vorlaufig aktiviert warden kann. Beim 
Wiederaufladen der Karte wird der neue Zahlerstand in den 
zunachst nur vorlaufig aktivierten Wertbereich (WBB) ge- 
schrieben und erst nach OberprOfung des korrekten Schrei- 
bens dieser Wertbereich (WBB) nicht-fluchtig aktivierbar 
geschaltet. 
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Die Erfindung betrifft ein Datenubertragungssystem 
mit zumindest einem Terminal und mit zumindest einer 
tragbaren Datentrageranordnung, die mit einem nicht- 
fliichtigen Halbleiterspeicher versehen ist, der zumin- 
dest einen ersten als Zahler fungierenden, einen abbuch- 
baren Geldwert reprasentierenden Wertbereich auf- 
weist sowie ein Verfahren zurn Wiederaufladen des 
Wertbereichs der tragbaren Datentrageranordnung. 

Eine solche tragbare Datentrageranordnung ist bei- 
spielsweise eine heute gebrSuchliche Chipkarte, die bei- 
spielsweise als Telefonkarte benutzt wird. In diesem Fall 
ist das stationare Terminal ein kartentauglicher Tele- 
fonapparat Solche als einfache Speicherkarten ausge- 
fuhrten Chipkarten enthalten einen nicht-fliichtigen 
Halbleiterspeicher, beispielsweise ein EEPROM, das im 
wesentlichen als Zahler fur die voraus bezahlten und 
abzubuchenden Telefoneinheiten fungiert Das 
EEPROM kann dabei beispielsweise gemaB der EP- 
B 0321 727 bzw. US- A 5,001,332 beschaltet sein, so daB 
es als mehrstufiger, Abacus-ahnlicher Zahler arbeitet 
Der Wert der Karte und damit der Zahlumfang des 
Zahlers wird durch Beschreiben und damit Blockieren 
der Bereiche des Zahlers, die nicht mehr erlaubt sein 
sollen, festgelegt Vor dieser Festlegung hat der Zahler 
immer den maximalen Zahlumfang. Heute iibliche Tele- 
fonkarten sind nur einmal zu gebrauchen und werden 
nach dem Gebrauch weggeworfen. Es ist aber auch der 
Gebrauch solcher Chipkarten als elektronische Geld- 
borse im Gesprach. Fur diesen Zweck verwendbare 
Chipkarten sind nur sinnvoll, wenn sie wiederaufladbar 
sind, wenn also der Zahlerstand wieder erhdht werden 
kann, nachdem ein gewisser Betrag abgebucht worden 
ist. Diese Erhdhung des Zahlerstands findet an speziel- 
len Ladeterminals start, an denen der Benutzer entwe- 
der durch Bareinzahlung, mittels Kreditkarte oder 
durch Angabe einer Kontonummer einen gewiinschten 
Betrag auf seine Karte aufbuchen kann. Beim Wieder- 
aufladen des Zahlers einer Chipkarte kann es aufgrund 
des Aufbaus von EEPROMs erforderlich sein, zunachst 
einen groBeren Zahlbereich oder den gesamten Zahler 
zu ldschen, das heiBt es wird voriibergehend ein zu ho- 
lier Zahlumfang eingestellt Erst danach kann der neue 
Zahlerstand durch erneute Begrenzung des Zahlum- 
f angs durch Programmiervorgange eingestellt werden. 

Wenn ein Benutzer in der Zeit zwischen dem Ldschen 
des Zahlers und dem erneuten Programmieren die Kar- 
te aus dem Terminal zieht, hatte er einen zu hohen 
Betrag aufgebucht bekommen, wodurch eine miB- 
brauchliche Manipulation ermdglicht wird. AuBerdem 
ist es denkbar, daB ein Benutzer den Datenverkehr zwi- 
schen Terminal und Karte manipuliert, so daB auf diese 
Weise ein zu hoher Betrag aufgebucht werden kann. 

Die Manipulation der Daten auf den Obertragungs- 
weg konnte durch eine sogenannte elektronische Unter- 
schrift verhindert werden. Die zu Obermittelnden Daten 
konnen auBerdem mittels eines geheimen Schliissels 
verschlQsselt werden und k6nnen nur mit einem be- 
stimmten, eindeutig dem Absender der Daten zuzuord- 
nenden Schliissel entschlusselt werden, wodurch der 
Absender eindeutig identifizierbar wird und die Daten 
nicht manipuliert werden kdnnen, da der Verschlussel- 
ungsschlussel geheim ist Eine solche Verschlusselung 
und Entschlusselung erfordert jedoch ein aufwendiges 
und sehr schnelles Rechenwerk, das nur mit teuren Mi- 
kroprozessoren moglich ist, wie sie beispielsweise in 
bereits bekannten Kryptokarten benutzt werden. 



Aufgabe der Erfindung ist es somit, ein gattungsge- 
maBes Datentibertragungssystem und ein Verfahren an- 
zugeben, bei dem auf einfache Weise eine manipula- 
tionssichere Wiederaufladung des Zahlers der tragba- 
5 ren Datentrageranordnung mdglich ist 

Die Aufgabe wird dadurch gelbst, daB in dem nicht- 
fliichtigen Halbleiterspeicher ein zweiter Wertbereich 
vorhanden ist, wobei nur jeweils einer der beiden Wert- 
bereiche nicht-fliichtig aktivierbar ist und der jeweils 
io andere Wertbereich nur voriaufig aktiviert werden 
kann. 

Nicht-fliichtig aktivierbar bedeutet hierbei, daB die 
Information, welcher der beiden Wertbereiche zuletzt 
als Wertbereich, von dem abgebucht werden konnte, 

15 definiert war, auch nach Abschalten der Betriebsspan- 
nung oder bei Unterbrechung des Ladevorgangs erhal- 
ten bleibt Das bedeutet, daB ein nur voriaufig aktivier- 
ter Wertbereich nach Abschalten der Betriebsspannung 
bzw. Unterbrechung des Ladevorgangs und Wiederein- 

20 schalten der Betriebsspannung bzw. Neubeginn eines 
Ladevorgangs wieder deaktiviert ist und nochmals vor- 
iaufig aktiviert werden muB. Erst nach erfolgreichem 
und korrektem Wiederaufladen der Chipkarte, d. h. erst 
nach korrektem Begrenzen des Zahlumfangs des nur 

25 voriaufig aktivierten Wertbereichs entsprechend der 
Summe aus dem Restwert und einem ins Terminal ein- 
gegebenen auf zubuchenden Wert wird der nur voriau- 
fig aktivierte Wertbereich nicht-fliichtig aktivierbar ge- 
schaltet, wodurch der zuvor nicht-fliichtig aktivierte 

30 Wertbereich deaktiviert wird und fur einen neuen Lade- 
vorgang zunachst nur voriaufig aktiviert werden kann. 

Wenn also ein Betruger versuchen wurde, beim Lade- 
vorgang des nur voriaufig aktivierten Wertbereichs 
nach dem Ldschen des Zahlers und vor dem erneuten 

35 Begrenzen seines Zahlumfangs entsprechend dem ein- 
zugebenden Wert die Karte aus dem Terminal zu ent- 
fernen, so wurde bei der nachsten Benutzung, also beim 
nachsten Anlegen der Betriebsspannung weiterhin der 
nicht-fliichtig aktivierbare Wertbereich aktiviert wer- 

40 den und der zuvor nur voriaufig aktivierte Wertbereich 
ware deaktiviert 

In vorteilhafter Weiterbildung der Erfindung sind die 
Wertbereiche des nicht-fliichtigen Speichers gemaB An- 
spruch 2 uber eine Auswahl-Logikschaltung mit einem 

45 nicht-fliichtigen Flag-Speicher, dessen Zustand den 
nicht-fliichtig aktivierten Wertbereich bestimmt, ver- 
bunden. Beim Abschalten der Betriebsspannung bleibt 
der Zustand des nicht- fluchtigen Flag-Speichers erhal- 
ten, wobei ein bestimmter Zustand immer demselben 

50 Wertbereich zugeordnet ist 

Zum vorlaufigen Aktivieren des jeweils anderen 
Wertbereichs ist in erfindungsgemaBer Weise die Aus- 
wahl-Logikschaltung mit einem Ladesteuersignal be- 
aufschlagbar. Dieses Ladesteuersignal hat in seinem 

55 neutralen Zustand, d. h. dem Zustand nach dem Anlegen 
der Betriebsspannung beispielsweise einen logischen 
"(T-Pegel und wird zum vorlaufigen Aktivieren des neu 
zu ladenden Wertbereich entsprechend auf einen 
"l^-Pegel umgeschaltet 

60 Das oder die Ausgangssignal(e) steuern eine Schalt- 
vorrichtung an, die die Wertbereiche mit einer Pro- 
grammier-Logikschaltung und einer Verifizier-Logik- 
schaltung verbindet Ein Wertbereich wird also dadurch 
aktiviert, daB er mit der Programmier-Logikschaitung 

65 und der Verifizier-Logikschaltung verbunden wird. 

Die tragbare Datentrageranordnung bzw. Chipkarte 
des erfindungsgemaBen Dateniibertragungssystems 
und die vorteilhaften Weiterbildungen dieses Systems 
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werden durch ein Verfahren gemaB dem Anspruch 5 
wieder aufgeladen. Vorteilhafte Weiterbildungen des 
Verfahrens sind in den abhangigen Anspruchen angege- 
ben. 

Die Erfindung wird nachfolgend mit Hilfe eines Aus- 5 
fuhrungsbeispiels anhand einer Figur naher erlautert 
Dabei zeigt die Figur in schematischer Form ein Lade- 
terminal sowie eine in dieses eingefiihrte tragbare Da- 
tentr^geranordnung. Die erfindungswesentlichen Schal- 
tungsanordnungen der beiden Teile des Datemibertra- 10 
gungssystems sind in Form eines Blockschaltbilds dar- 
gestellt 

Eine tragbare Datentrageranordnung, im folgenden 
Karte genannt, wobei auch andere Ausfahrungsarten, 
beispielsweise als Schliissel, denkbar sind, ist in der Fi- 15 
gur in ein Ladeterminal eines Datenubertragungssy- 
stems eingefuhrt Die Karte beinhaltet einen nicht- 
fluchtigen Speicher NVM, der in vorteilhafter Weise 
durch ein EEPROM reaiisiert sein kann. Dieser Spei- 
cher NVM ist dabei in mehrere Bereiche unterteilt, wo- 20 
von zwei als Wertbereiche WB A, WBB fungieren. Diese 
Wertbereiche WBA, WBB sind in vorteilhafter Weise 
als mehrstufige Zahler ausgefuhrt und beispielsweise 
gemaB der EP-B 0321 727 bzw. US-A 5,001,332 beschal- 
tet Solche Zahler sind Abwartszahler, wenn sie im ge- 25 
loschten oder aufgeladenen Zustand den logischen Zu- 
stand "1" und damit einen maximalen, durch die Anzahl 
der Zahlstufen und Bits pro Stufe bestimmten Zahlum- 
fang haben. Durch Beschreiben einer geeigneten An- 
zahl oberer Stufen bzw. einiger Bits der untersten dieser 30 
oberen Stufen laBt sich der Zahlumfang begrenzen und 
ab diesem Sollwert bis zum Endwert "0" herunterzahlen. 

Die Wertbereiche WBA, WBB sind iiber eine Schalt- 
vorrichtung SV mit einer Programmier-Logikschaltung 
PL und einer Verifizier-Logikschaltung VL verbunden. 35 
Die Programmier-Logikschaltung PL und die Verifizier- 
Logikschaltung VL sind dabei Bestandteile einer 
Steuereinrichtung ST. Innerhalb der Steuereinrichtung 
ST sind die Verbindungslinien der Schaltungsteile 
strichliert dargestellt, womit angedeutet werden soil, 40 
daB die jeweilige Verbindungslinie zur Steuereinrich- 
tung ST innerhalb der Steuereinrichtung ST auch mit 
anderen, nicht dargestellten Teilen der Steuereinrich- 
tung ST verbunden sein kann. 

Die Programmier-Logikschaltung PL dient zum Pro- 45 
grammieren bzw. Beschreiben der Wertbereiche WBA, 
WBB und die Verifizier-Logikschaltung VL zum Verifi- 
zieren bzw. Oberpriifen der beschriebenen Bereiche, ob 
richtig beschrieben wurde. In vorteilhafter Weise dient 
die Verifizier-Logikschaltung VL auch zur Erzeugung 50 
einer elektronischen Signatur eines Wertzustandes. 

Die Schaltvorrichtung SV wird von einer Auswahl- 
Logikschaltung AL derart angesteuert, daB jeweils nur 
einer der Wertbereiche WBA, WBB mit der Program- 
mier-Logikschaltung PL und Verifizier-Logikschaltung 55 
VL verbunden und dadurch aktiviert ist Die Auswahl- 
Logikschaltung AL wird ihrerseits von einem Flag-Spei- 
cher FS und iiber ein Ladesteuersignal LAD von der 
Steuereinrichtung ST angesteuert Die Auswahl-Logik- 
schaltung AL kann beispielsweise mit einem EXOR- 60 
Gatter mit einem nicht-invertierenden und einem inver- 
tierenden Ausgang gebildet sein. Der Flag-Speicher FS 
ist ein nicht-fliichtiger Speicher und wird iiber ein Signal 
PROG von der Steuereinrichtung ST angesteuert Der 
Flag-Speicher FS kann zwei Zustande einnehmen, wo- 65 
bei jeder dieser Zustande einem der Wertbereiche 
WBA, WBB zugeordnet ist Da der Zustand des Flag- 
Speichers FS nicht-fliichtig gespeichert ist, wird bei An- 
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legen der Betriebsspannung an die Karte, d. h. beispiels- 
weise durch Einfiihren der Karte in das Ladeterminal, 
der dem jeweils gespeicherten Zustand entsprechende 
Wertbereich WBA bzw. WBB aktiviert Das Ladesteu- 
ersignal LAD nimmt hierzu beim Anlegen der Betriebs- 
spannung einen definierten Zustand ein. Erst nach An- 
dern des Zustands des Ladesteuersignals LAD wird mit- 
tels der Schaltvorrichtung SV, die von der Auswahl-Lo- 
gikschaltung AL entsprechend angesteuert wird, der je- 
weils andere Wertbereich WBB bzw. WBA vorlaufig 
aktiviert und der zuvor aktivierte Wertbereich WBA 
bzw. WBB deaktiviert Vorlaufig deshalb, weil der Zu- 
stand des Ladesteuersignals fluchtig ist und bei Abschal- 
ten der Betriebsspannung, was z. B. durch Entfernen der 
Karte aus dem Ladeterminal erfolgt, wieder seinen defi- 
nierten inaktiven Zustand einnimmt, so daB nach jedem 
Abschalten der Betriebsspannung oder erfindungsge- 
maB nach jedem Unterbrechen eines Ladevorgangs 
wieder der durch den Flag-Speicher FS definierte Wert- 
bereich aktivierbar bzw. aktiviert ist 

Durch ein Signal PROG von der Steuereinrichtung 
ST zum Flag-Speicher FS kann eine Anderung des Zu- 
stands des Flagspeichers und damit der Austausch des 
aktivierten bzw. aktivierbaren Wertbereichs nicht- 
fliichtig durchgefiihrt werden. 

Der nicht-fluchtige Speicher NVM enthalt als weitere 
Bereiche einen Signaturspeicher SIGSP, der spater er- 
lautert wird, einen Ladezahler LZ, mit dem die Ladevor- 
gange gezahlt werden konnen, einen Bereich KSD, in 
dem kartenspezifizische Daten abgespeichert sind und 
einen Bereich GC, in dem ein geheimer Code gespei- 
chert ist 

In der Steuereinrichtung ST ist auBerdem ein Pseudo- 
Zufalls-Generator PZG enthalten, der in Wirkverbin- 
dung mit der Verifizier-Logikschaltung VL steht und 
auBerdem mit dem Signaturspeicher SIGSP, dem Lade- 
zahler LZ, dem Bereich KSD und dem Geheimcodebe- 
reich GC des nicht- fliichtigen Speichers NVM verbun- 
den ist Dieser Pseudo-Zufallsgenerator PZG ist in vor- 
teilhafter Weise gemaB der EP-A 0 616 429 aufgebaut 

Auch im Ladeterminal ist eine Steuereinrichtung STT 
enthalten, die ebenfalls eine Verifizier-Logikschaltung 
VLT und einen Pseudo-Zufallsgenerator PZGT enthalt, 
wobei die beiden Pseudo-Zufallsgeneratoren PZG und 
PZGT identisch sein mussen, wenn die Karte und das 
Terminal echt sind. Die Steuereinrichtung ST der Karte 
und die Steuereinrichtung STT des Terminals stehen 
iiber Leitungen LT1, LT2 miteinander in Verbindung, 
um Daten austauschen zu konnen. 

Zu Beginn eines Ladevorgangs liest das Terminal die 
kartenspezifischen Daten, den aktuellen Stand des akti- 
vierten und damit abbuchbaren Wertbereichs WBA 
bzw. WBB sowie den Stand des Ladezahlers LZ und des 
Signaturspeichers SIGSP. Aus den kartenspezifischen 
Daten kann ein echtes Terminal beispielsweise mittels 
einer Tabelle den Geheimcode der Karte ermitteln. Die- 
se Daten sowie eine weitere Zufallszahl, die sogenannte 
Challenge, werden im Terminal in den Pseudo-Zufalls- 
generator PZGT eingegeben, der eine Response be- 
rechnet Sowohi die Challenge als auch die Response 
werden daraufhin an die Karte ubermittelt Dort wird 
ebenfalls anhand der Daten eine Response berechnet 
und mit der vom Terminal iiberniittelten Response mit- 
tels eines Komparators, der ebenfalls in der Steuerein- 
richtung ST enthalten ist, verglichen. Bei Obereinstim- 
mung hat sich das Terminal als echt ausgewiesen, da es 
zum einen in der Lage war, den richtigen Geheimcode 
zu ermitteln, und auBerdem den richtigen Pseudo-Zu- 
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f allsgenerator PZGT hat 

Der Pseudo-Zufallsgenerator PZG bzw. PZGT dient 
auch dazu, eine elektronische Signatur des Inhalts der 
Wertbereiche WBA, WBB, also derer Zahlerstande zu 
erzeugen. Da das Ausgangssignal des Pseudo-Zuf allsge- 
nerators von dem Geheimcode der Kane abhangt und 
nur mit diesem geheimen Code nachgerechnet werden 
kann, muB bei Obereinstimmung von Ausgangssignalen 
des Pseudo-Zufallsgenerators PZG bzw. PZGT dersel- 
be geheime Code verwendet worden sein. Somit ist das 
Ausgangssignal eines Pseudo-Zufallsgenerators eindeu- 
tig einer bestimmten Karte zuordenbar, was als Signa- 
tur der Karte unter dem Zahlerstand bezeichnet wird. 

Damit durch eine Analyse mehrerer Berechnungsvor- 
gftnge der Aufbau des Pseudo-Zufallsgenerators und die 
eingegebenen Daten nicht ermittelt werden kdnnen, 
sind ein oder mehrere der eingegebenen Daten veran- 
derbar und verandern sich auch mit jedem Berech- 
nungsvorgang. Eines dieser Daten ist der Stand des La- 
dezahlers LZ, der mit jedem neuen Ladevorgang und 
damit mit jedem neuen Buchungsvorgang um 1. erhoht 
wird bzw. riickgesetzt wird, wenn der Zahlumfang er- 
schdpft ist 

Ein anderes Datum ist der Inhalt des Signaturspei- 
chers SIGSP. In diesen wird jeweils das Ergebnis einer 
vorherigen Rechnung des Pseudo-Zufallsgenerators 
eingeschrieben, die ja eine Signatur des vorherigen Zah- 
lerstandes ist Damit ist sichergesteilt daB sich das Aus- 
gangssignals des Pseudo-Zufallsgenerators PZG nur mit 
verschwindender Wahrscheinlichkeit wiederholt und 
somit nicht analysiert werden kann. 

In den Signaturspeicher SIGSP kann in einer Varian- 
te der Erfindung als Signatur des Ladevorgangs uber 
das Ladeterminal bei jedem Ladevorgang ein neuer 
Wert direkt eingeschrieben werden. 

Ein erfindungsgemaBer Ladevorgang l&uft in einfach- 
ster Weise derart ab, daB nach Einfuhren der Karte in 
das Ladeterminal und damit nach Anlegen einer Be- 
triebsspannung der durch den Zustand des Flag-Spei- 
chers FS definierte Wertbereich WBA oder WBB akti- 
viert ist und vom Terminal ausgelesen wird. Durch An- 
dern des Zustands des Ladesteuersignals LAD wird der 
andere Wertbereich WBB oder WBA vorlaufig aktiviert 
und der zuvor aktivierte vorlaufig deaktiviert Dann 
wird der nunmehr aktivierte Wertbereich WBB oder 
WBA geloscht, wobei dessen Zahler einen zu groBen 
Zahlumfang annimmt Daraufhin wird im Terminal aus 
dessen alten Zahlerstand und dem vom Benutzer ins 
Terminal eingegebenen auf zubuchenden Betrag ein 
neuer Zahlerstand ermittelt und an die Karte ubertra- 
gen. Wurde der Benutzer vorher die Karte aus dem 
Terminal entfernen, hatte er einen zu hohen Betrag auf- 
gebucht bekommen, wenn die Programmierung des 
Wertbereichs bereits endgultig und nicht-fliichtig er- 
folgt ware. Durch erneutes Einfuhren der Karte in das 
Terminal wird aber in erfindungsgemaBer Weise wieder 
der vorherige Wertbereich WBA bzw. WBB mit dem 
alten Zahlerstand aktiviert da der Zustand des Flag- 
Speichers FS noch nicht geandert worden war. Erst 
wenn der neue Zahlerstand in den vorlaufig aktivierten 
Wertbereich WBB bzw. WBA einprogrammiert wurde, 
wird der Zustand des Flag-Speicher FS durch ein Signal 
PROG von der Steuereinrichtung ST geandert wo- 
durch der neue Wertbereich nicht-fltichtig aktivierbar 
ist und bei jedem neuen Anlegen der Betriebsspannung, 
also bei jedem Einfuhren der Karte in ein Terminal 
aktiviert wird, beispielsweise um Geld abzubuchen. 

Um eine Manipulation des neuen Zahlerstandes bei 



der Obertragung vom Terminal zur Karte zu verhin- 
dern, wird in erfindungsgemaBer Weiterbildung des 
Verfahrens nach dem Ubertragen des neuen Zahler- 
standes zur Karte dort gemaB dem oben beschriebenen 
5 Verfahren der Zahlerstand signiert Die Signatur wird 
anschlieBend zum Terminal ubertragen und dort mit 
einer ebenfalls ermittelten Signatur verglichen. Bei 
Obereinstimmung ist sichergesteilt, daB der richtige 
Zahlerstand zur Karte ubertragen wurde. Bei Nicht- 

io Obereinstimmung wird der Ladevorgang abgebrochen, 
wodurch der falsche Zahlerstand keinen EinfluB auf spa- 
tere Abbuchvorgange hat, da der Zustand des Flag- 
Speichers FS noch nicht geandert wurde, Dieser wird 
erst nach Erkennen der Obereinstimmung der Signatu- 

15 ren und Obermitteln eines entsprechenden Signals vom 
Terminal an die Karte geandert 

In Weiterbildung des erfindungsgemaBen Verfahrens 
muB sich das Terminal gegenuber der Karte authentifi- 
zieren, bevor ein Ladevorgang gestartet werden kana 

20 Dadurch ist sichergesteilt, daB kein falsches Ladegerat 
zum Aufbuchen einer Karte benutzt werden kann. Ftir 
diese Authentifizierung werden aus den vom Terminal 
aus der Karte gelesenen Daten und einer Challenge eine 
Response berechnet, die zusammen mit der Challenge 

25 an die Karte ubermittelt und dort mit einem ebenfalls 
mittels der Challenge und den Kartendaten berechneten 
Response verglichen wird Nur bei Obereinstimmung 
der Responses konnen das Ladesteuersignal LAD und 
auch das Programmiersignal PROG erzeugt und damit 

30 ein Ladevorgang begonnen werden. Zu diesem Zweck 
sind in der tragbaren Datentrageranordnung Freigabe- 
vorrichtungen FGV1, FGV2 vorgesehen, die von der 
Steuereinrichtung ST geeignet angesteuert werden. Ein 
solcher Ladevorgang wird dabei beispielsweise durch 

35 Erhohen des Standes des Ladezahlers LZ oder durch 
einen Dummy- Programmierimpuls gestartet Ein Dum- 
my- Programmierim puis ist dabei ein Programmierim- 
puls auf eine nicht-giiltige Adresse des nicht-fluchtigen 
Speichers NVM, der von der Steuereinrichtung ST der 

40 Karte als Steuerbefehl erkannt wird. 

Auch nach dem Start eines Ladevorganges, nachdem 
das Terminal seine Berechtigung nachgewiesen hat und 
das Ladesignal LAD erzeugt worden ist konnte es ei- 
nem Betriiger gelingen, EinfluB auf den Wert des Zah- 

45 lerstandes zu nehmen und das Programmiersignal 
PROG zur nicht-fluchtigen Aktivierung des Zahlerstan- 
des unabhangig vom Terminal auszulosen. In einer Wei- 
terbildung des erfindungsgemaBen Verfahrens muB vor 
Erzeugung des Programmiersignals PROG das Termi- 

50 nal noch einmal seine Berechtigung nachweisen, das 
heiBt, es muB sich noch einmal authentifizieren. Die Er- 
zeugung der Responses entspricht dabei der bei der 
ersten Berechtigungsprufung zum Start eines Ladevor- 
gangs. 

55 Um eine Wiederholung von Responses zu verhindern, 
die von der Datentrageranordnung im Rahmen einer 
Signaturberechnung ausgegeben werden und zur Er- 
zeugung des Programmiersignals PROG ausgenutzt 
werden k6nnten, wird zur Erzeugung einer Response in 

60 erfindungsgemaBer Weise ein sich bei jeder Response- 
berechnung anderndes Datum verwendet Dieses Da- 
tum wird durch einen Responsezahler RZ geliefert, der 
vor jeder Responseberechnung nicht-fliichtig geandert 
wird und dessen Zahlerstand die Responseberechnung 

65 beeinfluBt Der Responsezahler RZ ist in vorteilhafter 
Weise als Bereich des nicht-fluchtigen Speichers reali- 
siert 

Durch das erfindungsgemaBe Datenubertragungssy- 
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stem und das erfindungsgemaBe Verfahren wird eine 
sichere Wiederaufladung einer tragbaren Datentrager- 
einrichtung, beispieisweise einer Chipkarte erreicht 

Patentanspriiche 5 

1. Datenilbertragungssystem mit zumindest einem 
Terminal und mit zumindest einer tragbaren Da- 
tentrageranordnung, die mit einem nicht-fliichtigen 
Halbleiterspeicher (NVM) versehen ist, der zumin- io 
dest einen ersten als Zahler fungierenden, einen 
abbuchbaren Geldwert reprasentierenden Wertbe- 
reich (WBA) aufweist, dadurch gekennzeichnet, 
daB der nicht-fliichtige Halbleiterspeicher (NVM) 
einen zweiten als Zahler fungierenden Wertbereich 15 
(WBB) aufweist, wobei nur jeweils einer der beiden 
Wertbereiche (WBA bzw. WBB) nicht-fliichtig akti- 
vierbar ist und der jeweils andere Wertbereich 
(WBB bzw. WBA) nur vorlaufig aktiviert werden 
kann. 20 

2. Datenilbertragungssystem nach Anspruch 1, da- 
durch gekennzeichnet, daB die Wertbereiche 
(WBA, WBB) des nicht-fliichtigen Speichers 
(NVM) iiber eine Auswahl-Logikschaltung (AL) 
mit einem nicht-fliichtigen Flagspeicher (FS), des- 25 
sen Zustand den nicht-fliichtig aktivierten Wertbe- 
reich (WBA bzw. WBB) bestimmt, verbunden sind. 

3. Datenilbertragungssystem nach Anspruch 2, da- 
durch gekennzeichnet, daB die Auswahl-Logik- 
schaltung (AL) mit einem Ladesteuersignal (LAD) 30 
beaufschlagbar ist, das die vorlaufige Aktivierung 
des nicht nicht-fliichtig aktivierten Wertbereichs 
(WBB bzw. WBA) bewirkt und den nicht-fliichtig 
aktivierten Wertbereich (WBA bzw. WBB) vorlau- 
fig deaktiviert 35 

4. Datenilbertragungssystem nach Anspruch 2 oder 
3, dadurch gekennzeichnet, daB zwischen der Aus- 
wahl-Logikschaltung (AL) und dem nicht-fluchti- 
gen Speicher (NVM) eine Schaltvorrichtung (SV) 
vorgesehen ist, die in Abhangigkeit von dem oder 40 
den Ausgangssignal(en) der Auswahl-Logikschal- 
tung (AL) eine Programmier-Logikschaltung (PL) 
und eine Verifizier-Logikschaltung (VL) mit dem 
jeweils aktiven Wertbereich (WBA bzw. WBB) ver- 
bindet 45 

5. Datenilbertragungssystem nach Anspruch 3, da- 
durch gekennzeichnet, daB in der Datentrageran- 
ordnung eine erste Freigabevorrichtung (FGV1) 
vorgesehen ist, die die Erzeugung eines Ladesignals 
(LAD) erst nach einer positiven Authentifizierung 50 
des Terminals zulaBt 

6. Datenilbertragungssystem nach einem der An- 
spruche 2 bis 5, dadurch gekennzeichnet, daB der 
nicht-fliichtige Flagspeicher (FS) mit einem Pro- 
grammiersignal (PROG) beaufschlagbar ist, das die 55 
Umwandlung des vorlaufig aktivierten Wertbe- 
reichs (WBB bzw. WBA) in den nicht- flUchtig akti- 
vierbaren Wertbereich (WBA bzw. WBB) veran- 
laBt 

7. Datenilbertragungssystem nach Anspruch 6, da- 60 
durch gekennzeichnet, daB in der Datentrageran- 
ordnung eine zweite Freigabevorrichtung (FGV2) 
vorgesehen ist, die die Erzeugung des Program- 
mersignals (PROG) erst nach einer positiven Au- 
thentifizierung des Terminals zulaBt 65 

8. Datenilbertragungssystem nach Anspruch 5 oder 
7, dadurch gekennzeichnet, daB der nicht-fliichtige 
Halbleiterspeicher (NVM) einen als nicht-fliichtige 



Zahlvorrichtung fungierenden Freigabebereich 
(FGB) aufweist, in dem jeder Versuch zur Erlan- 
gung der Freigabe nicht-fliichtig registrierbar ist 
und der aufeinanderfolgende Freigabeprozeduren 
unterscheidbar macht 

9. Verfahren zum Wiederaufladen einer einen 
Geldwert reprasentierenden tragbaren Datentra- 
geranordnung mittels eines Terminals eines Daten- 
tibertragungssystem gemaB einem der Anspriiche 1 
bis 8 mit den Schritten: 

a) Lesen des alten Zahlerstandes des nicht- 
fliichtig aktivierten Wertbereichs (WBA bzw. 
WBB) aus der tragbaren Datentrageranord- 
nung mittels des Terminals 

b) Berechnen eines neuen Zahlerstandes aus 
dem alten Zahlerstand und in das Terminal ein- 
gegebenen aufzubuchenden Daten im Termi- 
nal 

c) Cbertragen des neuen Zahlerstandes vom 
Terminal zur tragbaren Datentrageranord- 
nung 

d) Schreiben des neuen Zahlerstandes in den 
mittels des Ladesteuersignals (LAD) nur flUch- 
tig aktivierten Wertbereich (WBA bzw. WBB) 
des nicht-fliichtigen Speichers (NVM) 

e) nicht-fliichtig Aktivieren des Wertbereichs 
(WBB bzw. WBA) mit dem neuen Zahlerstand 
durch Andern des Zustands des Flagspeichers 
(FS). 

10. Verfahren nach Anspruch 9, dadurch gekenn- 
zeichnet, daB nach dem Schritt d) folgende weite- 
ren Schritte durchgefiihrt werden: 

dl) Signieren des neuen Zahlerstandes in der 
tragbaren Datentrageranordnung und Ober- 
tragen der Signatur zum Terminal 
d2) Ermitteln der Signatur des neuen Zahler- 
standes im Terminal und Vergleichen der bei- 
den Signaturen, 
daB der Schritt e) nur nach Obereinstimmung der 
beiden Signaturen durchgefiihrt wird und 
daB bei Nicht-Obereinstimmung der beiden Signa- 
turen das Verfahren abgebrochen wird. ; 

11. Verfahren nach Anspruch 9 oder 10, dadurch 
gekennzeichnet, daB nach dem Schritt a) folgende 
weiteren Schritte durchgefiihrt werden: 

al) Lesen von fur die tragbare Datentrageran- 
ordnung spezifischen Daten aus der tragbaren 
Datentrageranordnung mittels des Terminals 
a2) Erzeugen einer Challenge und Ermitteln 
einer Response aus der Challenge und zumin- 
dest einem Teil der spezifischen Daten und 
dem alten Zahlerstand im Terminal 
a3) Obermitteln der Challenge und der Re- 
sponse vom Terminal zur tragbaren Datentra- 
geranordnung 

a4) Ermitteln einer Response aus der Challen- 
ge in der tragbaren Datentrageranordnung 
und Vergleichen der beiden Responses. 

12. Verfahren nach Anspruch 9, 10 oder 1 1, dadurch 
gekennzeichnet, daB nach dem Schritt d) bzw. d2) 
folgende weiteren Schritte durchgefiihrt werden: 

d3) Lesen von fur die tragbare Datentrageran- 
ordnung spezifischen Daten aus der tragbaren 
Datentrageranordnung mittels des Terminals 
d4) Erzeugen einer Challenge und Ermitteln 
einer Response aus der Challenge und zumin- 
dest einem Teil der spezifischen Daten und 
dem alten Zahlerstand im Terminal 
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d5) Obermittein der Challenge und der Re- 
sponse vom Terminal zur tragbaren DatentrS- 
geranordnung 

d6) Ermitteln einer Response aus der Challen- 
ge in der tragbaren Datentrageranordnung 5 
und Vergleichen der beiden Responses 
und daB nur bei Obereinstimmung der beiden Re- 
sponses mit Schritt e) fortgefahren wird und bei 
Nicht-Obereinstimmung das Verfahren abgebro- 
chen wird. 10 

13. Verfahren nach einem der Ansprilche 10 bis 12, 
dadurch gekennzeichnet, daB zum Signieren eines 
Zahlerstandes oder zum Erzeugen einer Response 
ein sich mit jedem Ladevorgang anderndes Datum 
verwendet wird und daB die Erzeugung einer Si- 15 
gnatur oder einer Response mitteis eines Pseude- 
Zufalls-Generators (PZG) erfolgt 

14. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB das Datum der Wert eines Ladezah- 
Iers (LZ) ist, der jeden Ladevorgang zahlt 20 

15. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB das Datum der Wert eines Signatur- 
speichers (SIGSP) ist, in den die Signatur des alten 
Werts des jeweils nicht-fliichtig aktiven Wertbe- 
reichs (WBA bzw. WBB) eingeschrieben wird. 25 

16. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB das Datum der Wert eines Signatur- 
speichers (SIGSP) ist, in den als Signatur des Lade- 
vorgangs liber das Ladeterminal bei jedem neuen 
Ladevorgang ein neuer Wert eingeschrieben wird. 30 

17. Verfahren nach Anspruch 13, dadurch gekenn- 
zeichnet, daB vor jeder Responseberechnung ein 
Responsezahler (RZ) nicht-fliichtig geandert und 
als sich anderndes Datum verwendet wird. 
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